Porada prawna on-line

NAJNOWSZE ARTYKUŁY

Jak prawnie chronić dane wrażliwe?

Ustawa o ochronie danych osobowych określa dwa typy chronionych informacji. O tym, czym są dane osobowe pisaliśmy w artykule Pojęcie danej osobowej. W niniejszym tekście traktujemy o danych osobowych uznanych przez ustawodawcę za wrażliwe i zasługujących na szczególne środki ochrony.

W pierwszej kolejności należy wyjaśnić, czym są dane sensytywne. Zakres przedmiotowy tych danych określa art. 27 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem za sensytywne należy uznać dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Jest to więc zamknięta grupa informacji, która jednak jest zakreślona dosyć szeroko. Jak łatwo zauważyć, dane sensytywne mogą być przetwarzane w przedsiębiorstwach - głównie w dziale kadr.

Należy zwrócić uwagę, iż przepis art. 27 ust 2 ustawy przewiduje nieco inne zasady dopuszczalności przetwarzania tych danych niż art. 23, odnoszący się do innych danych osobowych.. Można je bowiem przetwarzać, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych – forma pisemna w tym przepisie oznacza oświadczenia pisemne lub równoważne z nim oświadczenie podpisane bezpiecznym podpisem elektronicznym.

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony – przepis ten musi znaleźć się w akcie prawnym rangi ustawowej lub wyższym (np. w ratyfikowanej umowie międzynarodowej).

3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora – tylko w przypadku, gdy osoba nie jest w stanie sama wyrazić zgody na piśmie lub nie ma świadomości swojego działania.

4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych – pod warunkiem, że przetwarzanie danych jest konieczne do prowadzenia działalności niezarobkowej.

5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem – powyższego przepisu nie należy traktować zbyt dosłownie, bowiem znajdzie on zastosowanie także w postępowaniu przed organami administracyjnymi lub egzekucyjnymi, które nie są instytucjami “sądowymi”;

6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych – nie oznacza to jednak możliwości udostępniania tych danych.

8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą – ale tylko w przypadku, gdy ich publikacja miała miejsce za zgodą osoby uprawnionej.

9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone

10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Przetwarzanie danych sensytywnych, w kontekście ich pozyskiwania, niczym się nie różni od zwykłych informacji. Możliwe jest więc ich zbieranie zarówno od osoby, której one dotyczą, jak i od podmiotów trzecich, a podmiot przetwarzający zobowiązany jest do zrealizowania wszystkich wymogów dotyczących obowiązków informacyjnych. Dane sensytywne podlegają jednak szczególnej ochronie. Na czym ona polega?

Szczególne środki ostrożności, których podjecie nakazują przepisy ustawy,, tyczą się głównie obowiązków dotyczących ochrony systemów informatycznych. Te zostały wskazane w Rozporządzeniu MSWiA z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz.1024). Jak wskazano, system informatyczny musi odpowiadać przynajmniej zabezpieczeniom na poziomie:

  • Podwyższonym – gdy system nie łączy się z Internetem;

  • Wysokim – gdy system łączy się z Internetem.

Oznacza to, m.in., konieczność stosowania 8-znakowego hasła składającego się z małych i wielkich liter, cyfr oraz znaków specjalnych, aktualizowanego co 30 dni, a także zastosowanie logicznych lub fizycznych zabezpieczeń chroniących dane.

Jak wynika z powyższego, przetwarzanie danych wrażliwych wymaga zachowania dodatkowych warunków. W szczególności może mieć miejsce tylko w ściśle określonych w ustawie przypadkach, a procedura musi podlegać specyficznym zabezpieczeniom w systemach informatycznych gwarantujących odpowiedni poziom bezpieczeństwa. O stosowaniu tych szczególnych regulacji muszą pamiętać nie tylko przedsiębiorcy z określonych dziedzin (jak przykładowo służba zdrowia), ale właściwie każdy pracodawca, dlatego warto skonsultować z profesjonalistami legalność stosowanych rozwiązań w swojej firmie.

 

MASZ PYTANIE?